Menggunakan Private Link di Virtual WAN

Azure Private Link adalah teknologi yang memungkinkan Anda menghubungkan penawaran Azure Platform-as-a-Service menggunakan konektivitas alamat IP privat dengan mengekspos Titik Akhir Privat. Dengan Azure Virtual WAN, Anda dapat menyebarkan Titik Akhir Privat di salah satu jaringan virtual yang terhubung ke hub virtual mana pun. Hal ini menyediakan konektivitas ke jaringan atau cabang virtual lainnya yang terhubung ke Virtual WAN yang sama.

Sebelum Anda mulai

Langkah-langkah dalam artikel ini mengasumsikan bahwa Anda telah menyebarkan WAN virtual dengan satu hub atau lebih, dan setidaknya ada dua jaringan virtual yang terhubung ke Virtual WAN.

Untuk membuat WAN virtual baru dan hub baru, gunakan langkah-langkah di artikel berikut:

Membuat titik akhir link privat

Anda dapat membuat titik akhir link privat untuk berbagai layanan. Dalam contoh ini, kita akan menggunakan Azure SQL Database. Anda bisa menemukan informasi selengkapnya tentang cara membuat titik akhir privat untuk Azure SQL Database di Mulai Cepat: Membuat Titik Akhir Privat menggunakan portal Microsoft Azure. Gambar berikut ini memperlihatkan konfigurasi jaringan Azure SQL Database:

create private link

Setelah membuat Azure SQL Database, Anda bisa memverifikasi alamat IP titik akhir privat yang menelusuri titik akhir privat Anda:

private endpoints

Saat mengklik titik akhir privat yang telah kami buat, Anda akan melihat alamat IP privatnya, serta Nama Domain Yang Sepenuhnya Memenuhi Syarat (FQDN). Perhatikan bahwa titik akhir privat memiliki alamat IP dalam rentang VNet tempat ia telah disebarkan (10.1.3.0/24):

SQL endpoint

Memverifikasi konektivitas dari VNet yang sama

Dalam contoh ini, kami akan memverifikasi konektivitas ke Azure SQL Database dari mesin virtual Ubuntu dengan alat MS SQL yang diinstal. Langkah pertama adalah memverifikasi bahwa resolusi DNS berfungsi dan Nama Domain Yang Sepenuhnya Memenuhi Syarat Azure SQL Database diselesaikan ke alamat IP privat, di VNet yang sama tempat Titik Akhir Privat telah disebarkan (10.1.3.0/24):

$ nslookup wantest.database.windows.net
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

Seperti yang Anda lihat di output sebelumnya, FQDN wantest.database.windows.net dipetakan ke wantest.privatelink.database.windows.net, bahwa zona DNS privat yang dibuat di sepanjang titik akhir privat akan diselesaikan ke alamat IP privat 10.1.3.228. Melihat ke zona DNS privat akan mengonfirmasi bahwa ada catatan A untuk titik akhir privat yang dipetakan ke alamat IP privat:

DNS zone

Setelah memverifikasi resolusi DNS yang benar, kita bisa mencoba menyambung ke database:

$ query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
$ sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.3.75

Seperti yang Anda lihat, kami menggunakan kueri SQL khusus yang memberi kami alamat IP sumber yang dilihat server SQL dari klien. Dalam hal ini, server melihat klien dengan IP privatnya (10.1.3.75), yang berarti bahwa lalu lintas berjalan dari VNet langsung ke titik akhir privat.

Perhatikan bahwa Anda perlu mengatur variabel username dan password untuk mencocokkan kredensial yang ditentukan dalam Azure SQL Database agar contoh dalam panduan ini berfungsi.

Menyambung dari VNet lain

Sekarang setelah satu VNet di Azure Virtual WAN memiliki konektivitas ke titik akhir privat, semua VNet dan cabang lain yang terhubung ke Virtual WAN juga dapat memiliki akses ke sana. Anda perlu menyediakan konektivitas melalui salah satu model yang didukung oleh Azure Virtual WAN, seperti skenario apa pun-ke-apa pun atau skenario Layanan Bersama VNet, dua contoh di antaranya.

Setelah Anda memiliki konektivitas antar VNet atau cabang ke VNet tempat titik akhir privat telah digunakan, Anda perlu mengonfigurasi resolusi DNS:

  • Jika menyambung ke titik akhir privat dari VNet, Anda bisa menggunakan zona privat yang sama dengan Azure SQL Database.
  • Jika menyambung ke titik akhir privat dari cabang (VPN situs ke situs, VPN Titik-ke-situs, atau ExpressRoute), Anda perlu menggunakan resolusi DNS lokal.

Dalam contoh ini kita akan menyambung dari VNet yang berbeda, jadi pertama-tama kita akan melampirkan zona DNS privat ke VNet baru sehingga beban kerjanya dapat menyelesaikan Nama Domain Yang Sepenuhnya Memenuhi Syarat Azure SQL Database ke alamat IP privat. Ini dilakukan melalui penautan zona DNS privat ke VNet baru:

DNS link

Sekarang setiap mesin virtual di VNet yang terlampir harus menyelesaikan FQDN Azure SQL Database dengan benar ke alamat IP privat milik link privat:

$ nslookup wantest.database.windows.net
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

Untuk memeriksa kembali apakah VNet ini (10.1.1.0/24) memiliki konektivitas ke VNet asli tempat titik akhir privat dikonfigurasi (10.1.3.0/24), Anda dapat memverifikasi tabel rute efektif di mesin virtual mana pun di VNet:

effective routes

Seperti yang Anda lihat, ada rute yang menunjuk ke VNet 10.1.3.0/24 yang disuntikkan oleh Virtual Network Gateways di Azure Virtual WAN. Sekarang kita akhirnya dapat menguji konektivitas ke database:

$ query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
$ sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.1.75

Dengan contoh ini, kita telah melihat cara membuat titik akhir privat di salah satu VNet yang melekat pada Virtual WAN, agar menyediakan konektivitas ke seluruh VNet dan cabang di Virtual WAN.

Langkah berikutnya

Untuk informasi selengkapnya tentang Virtual WAN, lihat FAQ.